+ Responder ao Tópico



  1. #1

    Padrão Bloquerar broadcast e acesso lan x lan

    Amigos uso minhas RBs em bridge, e controlo toda a rede em um servidor na borda, com isso todos da rede se enchergam, mesmo que eu não deixe marcado o "Default Forward" e eles não se encherguem pelo AP acabam se encontrando mais atras no switch.
    Minha duvida é a seguinte. Existe alguma coisa que eu possa fazer utilizando as RBs para bloquerar broadcasts e acessos internos?

    Espero que tenham me compreendido, obrigado pela atenção.

  2. #2

    Smile

    segue a regra:

    / ip firewall filter
    add chain=forward action=drop dst-port=135-139 protocol=tcp comment="Bloqueio \
    Netbios em rede " \
    disabled=no
    add chain=forward action=drop dst-port=445 protocol=tcp comment="" disabled=no
    add chain=forward action=drop dst-port=135-139 protocol=udp comment="" \
    disabled=no
    add chain=forward action=drop dst-port=445 protocol=udp comment="" disabled=no
    add chain=forward action=drop src-address=192.0.0.0/16 \
    dst-address=192.0.0.0/16 comment="" disabled=no

    antes de aplicar a regra mude a range de ip de cordo com sua rede.

    Se for útil agradeça..

  3. #3

    Padrão

    Muito obrigado, só vou dar uma alterada pq quero que meu servidor tenha acesso as maquinas da rede, então vou liberar apenas o acesso dele.
    Mas pode deixar comigo, agora sabendo que posso fazer dessa forma o resto eu resolvo tranquilinho.

    VLW.

  4. #4

    Padrão

    Citação Postado originalmente por warllock01 Ver Post
    Muito obrigado, só vou dar uma alterada pq quero que meu servidor tenha acesso as maquinas da rede, então vou liberar apenas o acesso dele.
    Mas pode deixar comigo, agora sabendo que posso fazer dessa forma o resto eu resolvo tranquilinho.

    VLW.

    Bom meu amigo tenho uma estrutara parecida com a tua, e faço o seguinte.
    meus clientes usam a rede 10.20.x.x/24
    e meus radios em bridge coloco na rede 10.0.x.x/24 desta forma faço o o bloq apenas na rede dos clientes. assim posso ter acesso a todos os meu radios na rede.
    e teu server gateway msm com esta regra tem "acesso os pcs" Bom depende do acesso.(ping,tarcert,smtp...)
    Última edição por petersonquemel; 11-11-2009 às 10:45.

  5. #5

    Padrão

    Citação Postado originalmente por petersonquemel Ver Post
    segue a regra:

    / ip firewall filter
    add chain=forward action=drop dst-port=135-139 protocol=tcp comment="Bloqueio \
    Netbios em rede " \
    disabled=no
    add chain=forward action=drop dst-port=445 protocol=tcp comment="" disabled=no
    add chain=forward action=drop dst-port=135-139 protocol=udp comment="" \
    disabled=no
    add chain=forward action=drop dst-port=445 protocol=udp comment="" disabled=no
    add chain=forward action=drop src-address=192.0.0.0/16 \
    dst-address=192.0.0.0/16 comment="" disabled=no

    antes de aplicar a regra mude a range de ip de cordo com sua rede.

    Se for útil agradeça..
    Amigão, eu inseri as regras da forma que vc passou, alterei para minha rede e tudo mais.
    Mas parece que não está funcionando, nenhuma delas recebeu 1 hit até agora.
    Me diga uma coisa, as regras de firewall funcionam mesmo em modo bridge?

  6. #6

    Padrão

    Citação Postado originalmente por warllock01 Ver Post
    Amigão, eu inseri as regras da forma que vc passou, alterei para minha rede e tudo mais.
    Mas parece que não está funcionando, nenhuma delas recebeu 1 hit até agora.
    Me diga uma coisa, as regras de firewall funcionam mesmo em modo bridge?
    Sim funciona. Vá em bridge==>settings==> e marque a opção use ip firewall para poder abilitar o firewall em modo bridge.

  7. #7

    Padrão

    Muito obrigado, tudo funfante agora, em menos de 5 minutos muitos e muitos pacotes bloqueados.
    Agora eu só precisava de um bom snifers para monitorar minha rede, conhece algum?

  8. #8

    Smile

    Citação Postado originalmente por warllock01 Ver Post
    Muito obrigado, tudo funfante agora, em menos de 5 minutos muitos e muitos pacotes bloqueados.
    Agora eu só precisava de um bom snifers para monitorar minha rede, conhece algum?
    ]

    Depende de que tipo de sniffer vc quer rodar, mas se for apenas para identificação de hosts pode usar o The Dude da Mikritik, ele faz identificação de hosts, mapeamento, teste de conexão. comsumo de banda do host, pode ter acesso as suas rbs etc...
    de qual lugar do RJ vc é ?? sou de Saquarema...

    msn: [email protected] add ae.

  9. #9

    Padrão

    Vou instalar esse ai e v se me supre, eu queria um para verificar oq andão fazendo em minha rede, estou notando algumas coisas estranhas.

    Eu opero em Niterói em Maricá, quase não logo no MSN + vou ti add.
    Abração.

  10. #10

    Thumbs down

    Amigos, esses filtros em bridge e no firewall não irão resolver...

    Os usuário se comunicam pela LAN através do switch...

    Creio eu que a unica opção seriam switches gerenciaveis!

    Alguem concorda?!?!!?

  11. #11

    Smile

    Citação Postado originalmente por netleandromt Ver Post
    Amigos, esses filtros em bridge e no firewall não irão resolver...

    Os usuário se comunicam pela LAN através do switch...

    Creio eu que a unica opção seriam switches gerenciaveis!

    Alguem concorda?!?!!?
    pela situação descrita pelo nosso amigo os clientes estão conectados em suas respectivas rbs e estariam se enxergando no switch mais a frente RB==>suitch<<=RB e com o filtro no firewall nas rbs, consequentemente o brodcast não passará para o suitch.
    aqui funciona, e pelo que percebi funcionou pra ele tbm....

  12. #12

    Padrão

    Ok, mas me tirem uma duvida!
    Se ao inves de RBs usasse rádios normais rtl8186, 4 rádios distribuidos em 4 setoriais, entre as interfaces wireless eu conseguiria bloquear o trafego, mas no switch comum logo abaixo não, correto?
    Dai só com switch gerenciavel, certo gente?

  13. #13

    Padrão

    Citação Postado originalmente por netleandromt Ver Post
    Ok, mas me tirem uma duvida!
    Se ao inves de RBs usasse rádios normais rtl8186, 4 rádios distribuidos em 4 setoriais, entre as interfaces wireless eu conseguiria bloquear o trafego, mas no switch comum logo abaixo não, correto?
    Dai só com switch gerenciavel, certo gente?

    Correto, switchs gerenciaveis resolveria.

  14. #14

    Padrão

    Citação Postado originalmente por petersonquemel Ver Post
    segue a regra:

    / ip firewall filter
    add chain=forward action=drop dst-port=135-139 protocol=tcp comment="Bloqueio \
    Netbios em rede " \
    disabled=no
    add chain=forward action=drop dst-port=445 protocol=tcp comment="" disabled=no
    add chain=forward action=drop dst-port=135-139 protocol=udp comment="" \
    disabled=no
    add chain=forward action=drop dst-port=445 protocol=udp comment="" disabled=no
    add chain=forward action=drop src-address=192.0.0.0/16 \
    dst-address=192.0.0.0/16 comment="" disabled=no

    antes de aplicar a regra mude a range de ip de cordo com sua rede.

    Se for útil agradeça..
    Como que seria essa regra para usar aqui na minha rede, pois o gateway e dns é na mesma faixa dos clientes, ai ao adicionar essas regras para a navegação!

  15. #15

    Smile

    Citação Postado originalmente por rogeriodj Ver Post
    Como que seria essa regra para usar aqui na minha rede, pois o gateway e dns é na mesma faixa dos clientes, ai ao adicionar essas regras para a navegação!




    pow não para pq vc só vai bloquear as portas 135-139 445 e não portas 80, 8080, 1863 (msn).
    portanto pode add as regras sem problemas. agora se vc adicinou as regras e parou de navegar, verifique a ordem de suas regras.




    Se for útil agradeça

  16. #16

    Padrão

    Citação Postado originalmente por petersonquemel Ver Post
    Sim funciona. Vá em bridge==>settings==> e marque a opção use ip firewall para poder abilitar o firewall em modo bridge.
    Grande so uma duvida.... aki no meu mikrotik não tem a função settinggs. poderia detalhar mais um pouco por favor??????

  17. #17

    Padrão

    Citação Postado originalmente por fabinhonsouza Ver Post
    Grande so uma duvida.... aki no meu mikrotik não tem a função settinggs. poderia detalhar mais um pouco por favor??????

    amigo qual a versão do teu MK ??